Grabit ha sottratto almeno 10mila file da aziende e piccole medie imprese presenti in Thailandia, India e Stati Uniti. A lanciare l’allarme è Kaspersky che ha scoperto come la nuova campagna di cyberspionaggio abbia coinvolto anche altri Paesi come Emirati Arabi Uniti, Germania, Israele, Canada, Francia, Austria, Sri Lanka, Cile e Belgio.
“Abbiamo osservato molte campagne di cyberspionaggio concentrate su grandi aziende, enti governativi e altre realtà di alto profilo dalle quali erano però escluse le piccole e medie imprese. Grabit, invece, ci ha dimostrato che il cybercrimine non è un gioco che include solo i cosiddetti “pesci grossi” – nel mondo informatico ogni singola organizzazione che gestisce soldi, informazioni o potere politico è potenzialmente interessante per i criminali informatici. Grabit è ancora attivo per cui è davvero importante controllare la propria rete per accertarsi che sia sicura. Il 15 maggio scorso Grabit è stato scoperto mentre tentatava di impossessarsi delle credenziali di migliaia di account sfruttando diversi sistemi infetti. Questa minaccia non deve essere sottovalutata,” – ha dichiarato Morten Lehn, Managing Director di Kaspersky Lab Italia.
L’infezione comincia quando un dipendente di un’azienda riceve una email con un allegato che sembra un file Word Microsoft Office (.doc). Nel momento in cui l’utente clicca sul documento per procedere con il dowload, il programma spia viene inviato al PC da un server remoto che è stato precedentemente violato dai criminali per essere sfruttato come hub malware. Il cybercriminale controlla le sue vittime utilizzando il keylogger HawkEye, un tool di spionaggio commerciale di HawkEyeProducts e un modulo di configurazione contenente un numero RAT (Remote Administration Tools).
Il keylogger ha sottratto 2.887 password, 1053 email e 3.023 username da 4.928 host diversi in un solo server di comando e controllo, internamente ed esternamente, incluso Outlook, Facebook, Skype, Google Mail, Pinterest, Yahoo, LinkedIn e Twitter, così come conti bancari e altro.
Come proteggersi?
Per tutelarsi è consigliato seguire alcune semplici regole:
- Сontrollare se la collocazione C:\Users\<PC-NAME>\AppData\Roaming\Microsoft contiene file eseguibili. In questo caso è possibile che ci sia stata l’infezione malware. Questo avvertimento non va ignorato.
- Le configurazioni Windows System non devono contenere grabit1.exe nella schermata di avvio. Avviare “msconfig” ed assicurarsi che sia pulito da record grabit1.exe.
- Non aprire allegati o link inviati da persone che non si conoscono. Se non è possibile non aprili, non inoltrarli ad altri e chiamare un amministratore IT che sia in grado di aiutarvi.
- Usare una soluzione anti-malware avanzata e aggiornata e seguire sempre l’elenco AV indicato per processi sospetti.
